<div dir="ltr">It's very important to note that they are vastly different solutions and not directly comparable.<div><div><br><div>As mentioned earlier in this thread, what OP is talking about is called BCP38 and it is (imo) the most important first step for a network owner to take.</div><div>It costs nothing but a bit of solid planning (we all do this already, right?!) and it ensures that your network can not originate spoofed traffic.</div><div><br></div><div>If everybody did that the need for any DDoS hardware would be very low.</div></div><div><br></div><div>Further from that first step, you can purchase vendor hardware to provide your network with additional protection <b>against other networks who choose not to use BCP38.</b></div></div><div><b><br></b></div><div>Cheers,</div><div>Bob W</div></div><div class="gmail_extra"><br><div class="gmail_quote">On 12 April 2017 at 15:00, Chad Kelly <span dir="ltr"><<a href="mailto:chad@cpkws.com.au" target="_blank">chad@cpkws.com.au</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 4/12/2017 12:00 PM, <a href="mailto:ausnog-request@lists.ausnog.net" target="_blank">ausnog-request@lists.ausnog.ne<wbr>t</a> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Given the way amplification attacks work - where you spoof the source IP<br>
address to be that of the target and then find services that can respond<br>
with significantly larger response (e.g. DNS, NTP etc), I am wondering<br>
if it is considered good practice at the ISP level to block traffic<br>
leaving your network with any source addresses that do not match your<br>
own address range or that of your clients.<br>
<br>
Do many/all ISPs do this? Are there any practical complications from<br>
doing this?<br>
</blockquote></span>
Any of the well known DDoS Attack prevention tools such as those offered by Ns Focus should do what you want.<br>
Without blocking legitimate traffic, heck even AWS has DDoS protection available now a days as an add on product.<br>
<a href="https://nsfocusglobal.com/solutions-overview/premise-ddos-protection-2/" rel="noreferrer" target="_blank">https://nsfocusglobal.com/solu<wbr>tions-overview/premise-ddos-<wbr>protection-2/</a><br>
<a href="https://aws.amazon.com/shield/" rel="noreferrer" target="_blank">https://aws.amazon.com/shield/</a><br>
<br>
This at least gives you a couple of solutions to look at anyway.<br>
<br>
Regards Chad.<span class="HOEnZb"><font color="#888888"><br>
<br>
<br>
-- <br>
Chad Kelly<br>
Manager<br>
CPK Web Services<br>
web <a href="http://www.cpkws.com.au" rel="noreferrer" target="_blank">www.cpkws.com.au</a><br>
phone 03 5273 0246</font></span><div class="HOEnZb"><div class="h5"><br>
<br>
______________________________<wbr>_________________<br>
AusNOG mailing list<br>
<a href="mailto:AusNOG@lists.ausnog.net" target="_blank">AusNOG@lists.ausnog.net</a><br>
<a href="http://lists.ausnog.net/mailman/listinfo/ausnog" rel="noreferrer" target="_blank">http://lists.ausnog.net/mailma<wbr>n/listinfo/ausnog</a><br>
</div></div></blockquote></div><br></div>